 Okay, everybody welcome here for the next lecture. Our speaker here is Karsten Strodman and he is really infected by a DNS virus already since 30 years. He can't get rid of it It seems so and I don't know it's Can you give it to me as well? You think you might have it? Oh my god So rescue us, please Thank you. Hello. Hello. Hello. We come in a deutschen Übersetzung Übersetzen tun Sloth of anarchy and I've been so the question is do or don't Den wir gleich liegen wir gleich los die frage ist DO ha or dos nicht Ich werde jetzt ein bisschen über die privatsphäre in DNS reden Schauen wir schauen uns verschiedene Technologien an zum Beispiel do ha do t do cool with these Dann das dilemma diesbezüglich also das Dilemma der privatsphäre in Hansen Technologien über mich selber ich bin Selbstständig und Let's go to Ripe and IT Employed with any of the big browser vendors. I'm I'm not I do not for Mozilla Google or another großen Browser Hersteller wieder offi-cell noch inoffice But please please other Methods also ich Please don't shoot me. Ich bin ich bin nur der Nachrichten übertrager hier bitte Schießt mich nicht ab In den letzten Jahren hat die ETF DNS und andere Internet protocol design haben Änderungen gemacht an DNS also beziehungsweise Neue Protocoll designs die etwas privatsphäre verbessern sollen DNS wird benutzt um Domain namen zu IP adressen aufzulösen Und obwohl es noch mehrere protokolle gibt in den bereichen werden wir nur über die transport protokolle reden nämlich DNS uver hat WS oder quick Also warum brauchen wir denn mehr privatsphäre im DNS bereich? Da gibt es eine studie die im julien letzten jahres abgarten wurde Die hat gezeigt dass im kompletten internet 8,5 prozent der netzwerke DNS traffic unterbrechen sie fangen die Anfragen an Ab und lassen die an fragen nicht zum richtigen DNS server durch sondern sie greifen sie auf und Leiten sie um und antworten beantworten die DNS an frage lokal Und in kina ist es sogar mehr als 27 prozent von den DNS an fragen die unterbrochen werden It's the other fact that the most peers are just answered as it's a target Was not intercepted so werden die meisten an fragen so beantwortet so als ob sie nicht unterbracht unterbrochen werden Also die benutzer kriegen trotzdem die richtige antwort aber halt nicht richtigen server und das kann sich aber ändern Quirring in the internet und es hängt natürlich davon ab was die leute Veranfragen stellen im internet und der was für was manche leute tun um die antworten zu verändern Und ist der grund warum wir DNS verschüßeln wollen There are new Appriviations Neuer abkürzungen und fachbegriffe für die technologien wir haben do 53 das ist der typische traditionelle dns über den port 53 tcp und utp Das ist alte was was seit 1983 vorhanden ist dann gibt's do t. Das ist DNS über tls In a moment das werde ich gleich erklären Dann gibt es do h. Das ist DNS über htdps also port 443 Dann gibt es doch do q. Das ist DNS über quick Das werden wir vielleicht in Zukunft sehen und das werde ich auch gleich erklären und weiterhin gibt es noch do c. Das ist dns über cloud DNS not resolving the size that's dns nicht lokal Aufgelöst wird sondern durch cloud basierte services so wie cloudflare google oder sonst was also als erstes do t Das ist dns über tls. Es hat ein rfc standard schon paar jahre alt und das inkapsuliert einfach den normalen dns über tls und das ist Die ganz normale verschlüsselung die web verwendet wird aber über einen anderen port nämlich 853 und darüber haben wir verschlüsselung und authentifizieren und das funktioniert entweder durch ein zertifikat sowie Internet oder den das ist eine möglichkeit über dns die zertifikade zu validieren Und die zertifikade sind über die internet pkis so funktioniert jetzt normales dns The client und der client rechts schick der anfrage an seinen lokalen auflöse und das ist entweder in einem eigenen netzwerk oder im Netzwerk von einem internet provider Und der fragt sein cash an und wenn es nicht daran ist dann fragt er die autoritiven Server an und die antworten werden dann an den client zurückgeschickt und all das ist nicht verschlüsselt und nicht Authentifiziert das heißt der client weiß if that data speaking in weiß am ende nicht ob die Anfragen unterbrochen wurden oder ausgetauscht wurden Just doesn't know it Weiss es einfach nicht er kriegt eine antwort und benutzt sie und denkt sie sie es war obwohl es nicht unbedingt war sein muss so with dns over tls Dns über tls ist jetzt die situationen was man heute machen könnte But I haven't seen that anywhere so far. So man könnte natürlich zum lokalen reserver gehen aber das habe ich bisher noch nicht gesehen Was man schletzen macht ist dass man den klient unkonfiguriert dass der Die dns über tls an anderen server an fragt der nicht im lokalen netzwerk ist also zum beispiel irgendwie im internet google oder cloud flair Es gibt zum beispiel große servicers die solche server betreiben oder auch so was Privacy crash So if you have a local dns And it's also möglich dass man das weiter leitet so dass die clients weiter in die lokalen ganz normal an fragen und der lokalen server aber die an frage über dns über tls stellt und dann weiter leitet Resolver or to any other deal so muss man nicht in kompletten fad zum Dns server in client Dns über tls hat zwei verschiedene modi einmal der opportunistik der Mögliche, wo wir versuchen ob wir den anderen haus identifizieren können Notifizieren und wenn es funktioniert ist gut aber wir werden es trotz zu benutzen auch wenn es nicht funktioniert so ist es In der mail bereich wo die zentifikate meist nicht wirklich überprüft werden oder verifiziert werden Wo es dann nur für die von schlußung benutzt wird oder mal ganz natürlich strikt konfigurieren Und dann muss die authentifizierung funktionieren Und wenn es nicht funktioniert dann wird keine wenn keine daten übertragen übertragen und die verbindung ist dann kaputt there are a couple of operators es gibt eine par leute die Dott betreiben z.B. cloudware es gibt viel viel viel mehr Hier gibt es noch den großen bruder von dott do ha Dns über htps das ist a fc 84 84 und das nimmt dns und practice in TCP und in htps rein über port 443 die idee ist Looking at the data stream Außenseiter jemand der von draußen draufschaut dass nicht von normalen web traffic unterscheiden kann encryption and authentication Verschlüsselung und authentifizierung das ist gleiche wie Dott aber wir haben auch noch zusätzlich so ein bisschen versteckt Wir sind ein bisschen versteckt weil es so ähnlich aussieht wie web traffic die idee ist dass es schwieriger ist zu zensieren the normal web traffic In dem anderen web traffic mit drin ist so könnte das hier aussehen der klient sendet eine anfrage an web server auf port 443 Web server merkt dass eine dns anfrage ist und sendet Die dns anfrage weiter zum caching server der redet dann weiter mit den authoritative server und so weiter nur der Pinker nur die pinker pfeil ist verschüsselt und authentifiziert now jetzt schau ich der etf schon ein bisschen länger zu und der prozess Etf zu einem rfc zu machen ging unheimlich schnell normalerweise dauert es fünf bis sechs jahre um einen vollständigen internet start zu bauen weil man normalerweise einen konsens braucht so dass man so dass man mit vielen leuten reden muss bevor irgendwas passieren kann die erste idee war november 2017 the draft was ready aber in mars im erz 2018 war es bereits fertig und sie haben schon gefragt ob es noch irgendwer against this nobody caught out i don't mean to comment on that so hot and then that's Niemand hat dann dann wird es zum rfc das ist schon im oktober 2018 das ist unter einem jahr in unter einem jahr passiert das ist ziemlich besonders es zeigt was für kräfte hinter diesem rfc drin sind hauptsächlich die Browser hersteller und wir werden sehen warum das so ist es gibt ein interessantes zitat in dem rc Filter oder inspektionssysteme werden nicht funktionieren in system wo die dho verwendet wird das heißt alle gretel incident nach sicherheitsproblemen im netzwerk Schauen will not work anymore Indem sie auf den s-anfragen schauen werden nicht mehr funktionieren das Das wird netzwerk secure das hat administratoren schon verängstigt das ist verständlich und Sie weil die gretel sie gekauft haben nicht mehr funktionieren werden es gibt leute die Hoa deswegen nicht gut finden und bekämpfen so aber es gibt auch noch andere gründe dagegen Hoa ist zum erst mal in firefox 61 eingebracht worden das war im mai 2018 das war am anfang ein manuelle Konfiguration in about konfig also muss das north sein um das herauszufinden aber im firefox quantum firefox 68 60 hier im bild das aktueller da kann man einfach zum proxie enable Einstellung gehen und dort kann man Kontrollkästin aktivieren um ein Doha provider auszuwählen man kann natürlich auch seinen eigenen Sein eigenen doha server Konfigurieren so was ist denn jetzt passiert Mozilla hat ein vortag gehalten in dem treffel und sie wollten eigentlich als Standard aktivieren irgendwann aber es ist noch bisher noch kein datum dafür festgelegt Sie versuchen herauszufinden wie man es aktivieren kann ohne viele konfigurationen in in firmen Umgebungen kaputt zu machen so blem ist dass die firmen oft nennen dass die firmen oft lokale dns namen haben das sind solche die nicht im internet verfügbar sind sondern nur lokal Aufgelöst werden und wenn jetzt der firefox browser auf doha umstellt und die doha server im internet diese internen server nicht kennen dann können die benutzer nicht mehr die lokalen Lokalen jira oder wiki oder solche internen services auflösen und das natürlich schlecht und eine schlechte nutze erfahrung und das möchte mozilla verweiden Und da müssen sie noch eine lösung finden aber sobald sie das haben wollen sie doha für alle aktivieren und es wird nicht überall cloudflare sein und manche leute haben angst dass mozilla es einfach aktiviert und alles so cloudflare geht aber das ist nicht der plan sondern mozilla arbeitet mit lokalen doha providers und die Provider sie zertifizieren die lokalen provider und geben ne liste raus die von providers die doha in ne bestimmten regionen breitstellen Legendes als standard fit und es könnte sein dass in deutschland dann an provider existiert one that we mostly can trust der das auflöst und hoffentlich ist jemand der dem vertrauen kann und es würde dann der standard für deutschland in firefox sein werden mozilla hat jetzt veröffentlicht was für anforderungen man erfüllen muss um ein doha server zu betreiben und Was man dafür machen muss ist diese anforderungen zu überprüfen und kann dann beantragen dass dieser service in der liste aufgeführt wird in chrome gibt es schon jetzt doha aber das kann man bisher nur mit einer kommando zahlen option aktivieren hier ist ein link wie man das machen kann und das google team hat angekündigt dass man auch bald in chrome 78 konfigurationsoptionen in der benutzeroberfläche anbieten wollen aber sie haben noch keine plane des Doha startmessig zu aktivieren also es wird erst mal eine optionale einstellungsmöglichkeit bleiben Hier ist eine liste von doha betreibern ist eine auswahl so was ist der differenz between also was jetzt der unterschied zwischen dota t und doha dut kann einfach geblockt werden weil es ein bestimmter port ist nämlich 58 und in bestimmten regenden z.B. in asien wo dns oft geblockt wird die benutzer haben tatsächlich nur zwei port sie sie benutzen können um den s zu gesäufen nämlich port 53 zum lokalen internet Betreiber der das dann oft filtert und sogar ändert und weiterhin können sie noch den port für drei nutzen und nichts anderes ist offen und die Operatoren der netze werden das nicht ändern und diesen port weiterhin erlauben weil sie wollen wollen nicht dass sie nutzer privatsphäre haben die regierung dort Und doha ist extra dafür ausgelegt dass es so aussieht wie normaler hat dps traffic so also die idee davon ist dass man doha sehr schwer blocken kann und Den kompletten port für drei zu blocken das wäre der fast gesamte web traffic und es ist einfach nicht möglich deswegen ist es eklig und Das cns über hat dps zu machen und es auch ein altraum für ingenieure aber sieht so aus als wenn man wenn man privatsphäre im internet haben möchte dann können wir nicht auf die Hierarchische internet struktur benutzen sondern wir müssen hier solche möglichkeiten nutzen um privatsphäre einzuführen die ha es einfach zu implementieren weil es auf hat dps basiert und die meisten programmierer wissen wie man das anwendet und das sind mehr auf als als leute die so ein socket programmieren können und die hoha erlaubt so gott dns Auflösung auf einem application level zu machen anwärtslevel und dns resolution erschreckend weil Verschiedene anwendungen verschiedene auflöse haben kann und so die eine anwendung vielleicht eine andere antwoord liefert als andere Aber es ist aber es wird noch besser später es gibt ein dilemma mit doha To reach the internet users that I'm Privacy and the nutzer internet so zu erreichen die wirklich privatsphäre brauchen das sind nicht wir in westeuropa weil wir haben ziemlich gute privatsphären gesetze aber zum beispiel in In usr oder in asien da gibt es viele netzwerke access to the internet Private internet zugriff wirklich sehr schwer ist und für diese leute wollen wir eine lösung finden And how mozilla looks like and we must see that it's machen möchte und drauf schaut We have a standard to find If we make it an option so you want to start it messig aktivieren weil wenn man das nur als optionen macht Werden das nur die nerd sein die das aktivieren das nur leute hier auf dem camp die wissen wie man das anmacht und die leute brauchen das nicht Weil die wissen schon so wie sie sich Schützen können und privat surfen können wir brauchen eine lösung die für 99 prozent vom restlichen internet funktioniert und für die leute da kannst du nicht das probleme klären du musst einen standard reinbringen der Bist erfüllt und es ist sehr schwer die Zertifikats So the people with the search for Activieren So also let's us this in the leute die unser zertifikat verifizieren und die sorry Might lead to some centralization of DNS queries and that is of course bad because the browser Bauen die zertifikat autoritäten in den browser rein und ähnlich würde es dann mit den doha servern aussehen That's that's bad. So there's a dilemma. We come so we have The other so we have a hundred percent good solution. We have no good solution. We have no hundred percent good solution because we either The discussion is cool and still participate in this discussion Or not enough privacy, but this discussion is still open. We can participate in the browser space because some time We have now been a bus over browser graded Manchmal kommen Leute zu mir Nobody wants that and sagen das sind nur die browser Leute die wollen dass wir doha benutzen und da habe ich mal Software in die software landscape geschaut auf git lab und get up Und da wollte ich mal schauen sind es nur die browser oder gibt es auch noch andere prägte die doha benutzen Und das habe ich im Mai getan und im juni dieses Jahr Genuine software product not of something that da habe ich bloß auf tatsächliche software Projekte geschaut nicht irgendwelche doha oder die zusammenfügung wie Docker Projekte oder so weiter ich habe hier mal eine volle liste gemacht 55 implementierung implementation languages of Interessant sind die implementations sprachen Hauptsächlich ist es go This is more than C and C++, but most of the new stuff is done in Go. I would say most of the new projects are now in Go. I would say the C and C++ projects are old projects that still exist in the OHA. Then we have a long long long tail of other programming languages. Now DOT versus DOH, we have 23, the DOT implement, 42 the DOH implement, some implement both. So now the question is when did the projects start? 2016 was announced, 2017 was announced and last year the implementation really went up. We have 29 new projects last year and 13 new projects this year and I think this year we will have 28, 29 or so at the end of the year. I look every month at new projects and there are always 5 or 6 new ones. Then I looked at how fresh these projects are, are they active or long inactive? For example, is there an issue tracker where bugs are talked about, are there new codes, new commits? And most of them are active, 44 are active, 11 are almost dead, nothing happens there. Here are a few applications, the DOH or DOT have Firefox, Chrome, Curl and then two browser, TENTA browser and Bromite that are rather on Android. On the operating system side there is SystemDresolveD, you have to activate it, Unwind has the new Resolver for OpenBSD, OpenBSD 6.5 has DOT in it and there is a release module for Libc for Linux, it is a proof of concept but it can be expanded to all applications. This can be used by all DOT or DOH applications. There are a few proxies and there are a few small proxies and there are a few servers that don't implement DOH. There are a few servers that implement DOT or DOH, for example Unbound, Not and so on. So, what I missed was a certificate identification via Dane, usually they do it via the certificate store of the operating system. Then it would be interesting to have a witness function so that several providers are queried and then we compare them and see if the answers are the same. And if they are not the same, then we take a majority vote, so that if the provider gives the wrong answers, the software will continue to work and the majority IP will be used. It would be DNS slow, but for that you can give an answer to the user if you want more security or faster internet. Apart from that we have a bit of security audits, so that someone looks at how the security of this project is and that's what I missed a bit. So, what is still in the future? There is a DNS about Qwik. Qwik is a protocol that is developed by Google and is currently hanging in the ITF and the goal of it is to replace TCP. It is based on UDP, but it has built in TCP-like functions and it is already available in Chrome and also on the Google server side. So if you go to Google or YouTube, for example, then you have already used Qwik in the last three years, because if you have it and you contact a service, then the browser automatically shows that it is possible to use Qwik there and if it is available, then you can use it instead of TCP. Why TCP is so fast? Why TCP is slow? Why it is not possible to make TCP so fast is because there are so many middlemen and there are old implementations and they have certain assumptions on the protocol and it is simply not possible to change all these middlemen. So if you now bring out a new TCP system and you can't enforce all the hardware manufacturers or they don't exist anymore and that's why it can't be changed or improved anymore. And the idea was to do it better and Google has decided to develop a new protocol that is based on UDP because UDP has few problems and you can simply apply changes to it and the firewall is just through. And with the new protocol, here is the idea to do DNS over it. Qwik has built in TLS 1.3, has built in a zero round trip time encryption and everything we have in TLS 1.3 is also built in Qwik and there is a discussion about how to standardize DNS over Qwik. It would look similar to DOH or DOT but with a different transport protocol. But I'll take a look now. Qwik, the idea of Qwik is that Qwik is not built in the operating system, like the TCP IP stack, but that it is built in the application. So it is a new network stack that is built in the application. So if you are afraid of doing DOH or DOT in applications, you will have a different TCP, different DNS server to ask and the Qwik server, with Qwik it would be possible. But it would be very difficult to travel shoot and we'll see how it looks like. Here is a comparison with DNS over Qwik and traditional TCP. This has the author of the DNS over Qwik implementation and Qwik has all the properties that you want, you can see it on the right side. So I'm almost done and we can see that DNS has developed quickly in these days and there are many changes. Not only that there are new transport protocols, but also that there is DNS padding or QNAMization. Harvard from PowerDNS wrote the DNS camel and he says DNS is like a camel and if you throw too much on it, it will collapse and that's right. The DNS community works on it, to throw out some old DNS properties, but I'm very sure that the future of DNS communication will be destroyed. It will either be DOT or DOH or DOQ. If I had to bet now, I would say that it is DOH and that it will be DOH and we can't do much about it. We can only adjust how it is implemented, but we can no longer stop it. I see that DOH or DOQ have the most potential for centralization or de-centralization. It really depends on the software and how many operators of this DOH or DOQ serve it. If nobody but the big vendors implement it, then it will be centralized. But if many ISPs and private fair organizations and private people operate DOH and DOQ servers and offer them publicly, then we can have a better internet and a de-centralized internet. The software, the protocols are neutral, the protocols don't require how it is implemented, but if DOH is implemented and everything is sent to one provider, then it's bad. But if there are many servers out there and the users can choose which server or the software can choose, then we have a de-centralization effect, which would be really good. What can we do? We can operate DOH or DOQ server. It's really not difficult. The software exists, it's also applied, we can use it. We can hack the DOH or DOQ server and maybe audit security, or install this witness function, or install Dane authentication. We can work on, if we work on operating system, we can work on Linux, or BSD, or HiCo, or Alumnus, then we can try to install it there. We can't avoid them. We can't try to say, I want to keep my old DNS and not the new one, because it's already decided and we can't do anything about it. We can implement it and give the user a choice, and maybe a meaningful choice. Please engage with the ITF, don't just... Please don't just criticize the ITF, but bring yourself in there, because the processes are open there. Everyone can participate, no membership is required. If you can't travel to the meeting, you can also participate remotely. Take the time, listen to the talks, or go into the Jabber chat, and bring yourself in there, because it's very valuable. The ITF needs more people from the base, from the bottom of the truth, who participate there. Because if we do that, the people from the big companies are the internet developers, and that might not be the best interest for everyone. And also, I don't like it, so please deploy DNSSEC, that's for sure. Thank you for listening. Thank you. We might have a few minutes for a question and answer, and if you want to have more discussion... We have a few minutes for questions and answers, and if you want to continue to discuss Digital Courage, then go to the nice people from Digital Courage who operate a DOT server, and go there at 6 o'clock, because there is a small meeting and a discussion, so if you're interested, then... So, the whole issue of DIY, DNS Privacy, privacy, then you can meet me there at 6 o'clock or a little later at Digital Courage. Thank you, Karsten. Are there questions here in the audience? Can someone with the mic go there? Oops, be careful, phones and bottles. What are the possibilities of decentralization or centralization that could bring these projects? I have the question, are there plans to secure the authoritative name server that they use these secure protocols? If we want to really decentralize this at home to be able to run a recursive, then I would like to be able to implement the same recursive with this schematic at home. So even if I have an ISP that blocks it, so if I want to do it locally, then I have to be able to reach all authoritative name servers via HTTPS. Are there plans? Yes, the private working group is working on it right now. They are working on building a protocol extension for DOT and DOH, so that you can directly talk to the resolvers. It's still a work in progress, it's not done yet, it's the second step. First of all, we secured the connection between the client and the first resolver and now we are talking about the connection between the resolver and the authoritative server. What brings all the security, if there's no way to know if it's downgrade attacking, if there's always a fallback to the old protocols, then there's no security at all. Most of the software has two modes, a strict mode and an opportunistic mode. In opportunistic mode, it falls back on the old unsafe protocol, but most of the time you can put it on the strict protocol and then it fails if DOH doesn't work. Thank you for the talk. A short question. What are your thoughts on why companies want to do something like that? Is it just because it's easier? Do they use the software themselves or do you think they have bad thoughts? I can't look into people's heads. I trust Mozilla and I talked to a few people from Mozilla and they were a bit frustrated with the DOT and the processes and how it's implemented in the real world. This RFC is three or four years old, but it wasn't widely implemented. That was one of the reasons why Mozilla worked on DOH, because in this way they have control over the client side so that they don't have to wait for the operating system manufacturer, because DOT is something you have in the operating systems. Of course, others can have other plans. For example, on the mobile side, most of the internet traffic and all the apps have different DNS resolvers. I'm afraid that the app developers will pay to put in the DNS server. What is the initial name of the DOT or DH server? How is it solved in an IP address? Is this not the point where censorship could start so that people don't know where they can get DNS from HTTPS or TLS? Yes, so how is the DOT or DH server solved? It depends on the software. Some hard-coded bootstrap servers have bootstrap servers that are hard-coded. Some use traditional DNS for that. The question is, can you handle the system like this? The answer is no. You could give back another IP address, but then the certificate is not okay because the attacker can't get the certificate for this domain. Since the attacker has the possibility to fake a TLS certificate, but otherwise it can't work. Of course, there is a problem. That's why I think people should rely on Dain. But that's another problem, that's different. I'm wondering, as long as we don't have the server name indication, what if we don't have the different server communication in the follow-up request after the DNS look-up? Yes. Are you familiar with the encrypted SNI deployed? Yes. Do you know on the plan that the browser manufacturer offers encrypted server authentication? No, I'm more of a DNS person. I talked to them a bit. I can't call any data. All the big manufacturers, Apple, Chrome, Mozilla, they all bring it forward. One last question. Are there possible solutions for the Ptube? For the split-horizontal problem in DNS? Yes, probably. I didn't really look into that. But what you can do is you can give queries to the local resolver. To find out if there are any special namesways. But I don't know the exact details. That's still an open question. That's still something you can research. That's the reason why DOH hasn't been activated yet. But that's a problem that has to be solved. Well, I got the virus as well now. Thank you. Thank you, Karsten.